组件介绍

Apache Log4j2是一款Java日志框架，是Apache Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。由于其易用性被广泛集成于各种服务器和组件中。

漏洞描述

2021年12月15日，深信服安全团队监测到一则Apache Log4j2组件存在拒绝服务漏洞的信息，漏洞编号：CVE-2021-45046，漏洞威胁等级：低危。

该漏洞是由于Apache Log4j2某些特殊配置场景，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行拒绝服务攻击，最终造成服务器拒绝服务。

影响范围

Apache Log4j2广泛地应用在中间件、开发框架、Web应用中。漏洞涉及用户量较大。

目前受影响的Apache Log4j2版本：

2.0.0 ≤ Apache Log4j < 2.16.0（其中2.12.2版本为官方修复版本，不受影响）

官方修复建议

当前官方已发布最新版本，及时更新升级到最新版本。链接如下：

https://github.com/apache/logging-log4j2/tags

注：Java8 的用户需要升级到 Apache Log4j 2.16.0版本。Java 7 的用户需要升级到Apache Log4j 2.12.2版本